ソフトウェアは多くの場合、さまざまなソースのパッケージに依存し、知らないうちにセキュリティの脆弱性を引き起こすことができる依存関係を作成します。 コードが既知のセキュリティの脆弱性を持つパッケージに依存している場合、攻撃者はシステムを悪用しようとする攻撃者のターゲットになり、コード、データ、顧客、または共同作成者にアクセスする可能性があります。 Dependabot alerts は、セキュリティで保護されたバージョンにアップグレードしてプロジェクトを保護できるように、脆弱な依存関係について通知します。
Dependabotがアラートを送信するタイミング
Dependabot はリポジトリの既定のブランチをスキャンし、次の場合にアラートを送信します。
- 新しい脆弱性が GitHub Advisory Database
- 依存関係グラフが変更されます。たとえば、パッケージやバージョンを更新するコミットをプッシュする場合
サポートされているエコシステムについては、 依存関係グラフがサポートされるパッケージ エコシステム を参照してください。
アラートについて
GitHubが脆弱な依存関係を検出すると、リポジトリの [Dependabot] タブと依存関係グラフに<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and qualityアラートが表示されます。 各アラートには次のものが含まれます。
- 影響を受けるファイルへのリンク
- 脆弱性とその重大度に関する詳細
- 固定バージョンに関する情報 (使用可能な場合)
アラートの表示と管理については、 Dependabot アラートの表示と更新 を参照してください。
アラートを有効にできるユーザー
リポジトリ管理者と組織の所有者は、リポジトリや組織でDependabot alertsを有効にすることができます。 有効にすると、 GitHub は直ちに依存関係グラフを生成し、それが識別する脆弱な依存関係に対するアラートを作成します。 リポジトリ管理者は、追加のユーザーまたはチームにアクセス権を付与できます。
「Dependabot アラートの構成」を参照してください。
アラートの権限管理と割り当て
書き込みアクセス権以上のユーザーは、リポジトリのコラボレーター、チーム、または AI エージェントに Dependabot alerts を割り当てて、脆弱性の修復のための明確な所有権を確立できます。 割り当ては、各アラートの責任者を追跡し、脆弱性が見過ごされるのを防ぐのに役立ちます。
アラートは、次の種類のエージェントに割り当てることができます。
Copilot
**、 GitHubの組み込みの AI エージェント。
- リポジトリ設定で有効になっている場合は、Codex や Claude などのサード パーティのエージェント。
ユーザーまたはチームにアラートが割り当てられると、担当者は通知を受け取り、アラートの名前がアラートリストに表示されます。 アサインされた担当者ごとにアラートをフィルターして進行状況を追跡できます。
アラートがエージェントに割り当てられると、エージェントは自動的にセッションを作成し、提案された修正プログラムを含む下書きプル要求を開きます。 エージェントが修正プログラムを生成できない場合、エージェントは担当者のままであり、アラート タイムラインの [ セッションの表示 ] をクリックしてエージェントのログを確認できます。
メモ
割り当ての可視性は現在、リポジトリ レベルのアラート ビューにスコープが設定されています。 組織全体のセキュリティの概要には、アラートの割り当ては表示されません。
アラートの担当者が変更されると、 GitHub は assignees_changed webhook イベントを送信します。 このイベントを使用して、ワークフローをトリガーしたり、割り当てデータを外部システムと同期したりできます。 詳しくは、「Webhook のイベントとペイロード」をご覧ください。
自動化と統合
REST API を使用して、プログラムでアラートの割り当てを管理できます。 詳しくは、「Dependabot alerts 用の REST API エンドポイント」をご覧ください。
アラートの割り当てについては、 Dependabot アラートの表示と更新 を参照してください。
アラート通知のしくみ
既定では、 GitHub は次の両方のユーザーに新しいアラートに関する電子メール通知を送信します。
- リポジトリに対する書き込み、保守、または管理者のアクセス許可を持っている
- リポジトリを監視していて、セキュリティ アラートまたはリポジトリのすべてのアクティビティに対する通知を有効にしている
既定の動作をオーバーライドするには、受信する通知の種類を選択するか、 https://github.com/settings/notificationsのユーザー通知の設定ページで通知を完全にオフに切り替えます。
通知の設定に関係なく、 Dependabot が最初に有効になると、 GitHub はリポジトリ内で検出されたすべての脆弱な依存関係に関する通知を送信しません。 代わりに、通知設定で許可されている場合、 Dependabot が有効になった後に識別された新しい脆弱な依存関係に関する通知を受け取ります。
通知の受信が多すぎる場合は、 Dependabot 自動トリアージ ルール を利用してリスクの低いアラートを自動的に無視することをお勧めします。 規則はアラート通知が送信される前に適用されるため、作成時に自動的に無視されたアラートで通知が送信されることはありません。 「Dependabot 自動トリアージ ルールについて」を参照してください。
または、毎週のメール ダイジェストをオプトインしたり、 Dependabot alerts を有効にしたまま通知を完全にオフにしたりすることもできます。
制限事項
Dependabot alerts にはいくつかの制限があります。
-
アラートでは、すべてのセキュリティの問題をキャッチすることはできません。 依存関係を常に確認し、マニフェストとロック ファイルを最新の状態に保ち、正確な検出を行います。
-
新しい脆弱性が GitHub Advisory Database に表示され、アラートがトリガーされるまでに時間がかかる場合があります。
-
GitHubによってレビューされたアドバイザリのみがアラートをトリガーします。
-
Dependabot はアーカイブされたリポジトリをスキャンしません。
-
GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。
GitHub リポジトリの脆弱性を公開することはありません。
ギットハブ コパイロット チャット 統合
GitHub Copilot Enterprise ライセンスを使用すると、コパイロットチャットに関するDependabot alertsの質問を組織のリポジトリで行うことができます。 詳しくは、「[AUTOTITLE](/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features)」をご覧ください。